ZHCSUB0 January 2024 AWR2544
ADVANCE INFORMATION
表 9-1 列出了器件中可用的主要监测和诊断机制。
| 特性 | 说明 |
|---|---|
| 主子系统 | |
| MSS R5F 内核的锁步操作 | 器件架构支持 MSS R5F 内核的锁步操作,该内核是主子系统中的操作内核,配置为器件中的安全岛。 |
| MSS R5F 内核和关联 VIM 的启动时间 LBIST | 器件架构支持硬件逻辑 BIST (LBIST) 引擎自检控制器 (STC)。该逻辑用于在晶体管级的 MSS R5F CPU 内核和向量中断模块 (VIM) 上提供非常高的诊断覆盖率 (>90%)。 在启动功能安全应用之前,需要由应用代码触发 CPU 和 VIM 的 LBIST。CPU 的复位在 STC 操作结束时启动,复位原因寄存器会捕获复位的状态。然后,可以读取 STC 寄存器以识别 STC 执行的状态,从而确定是否存在任何错误。CPU 保持在 while 循环中,如果发现故障,则不继续执行。 还可以执行故障注入测试,这会导致 CPU 复位,并在 STC 寄存器中发出错误状态信号。 |
| MSS R5F 存储器的启动时间 PBIST | MSS R5F 具有紧密耦合存储器 (TCM) 1 级 (L1) 存储器 TCMA、TCMB0 和 TCMB1 以及 2 级 (L2) 存储器。器件架构支持一个硬件可编程存储器 BIST (PBIST) 引擎。该逻辑用于在晶体管级别对所实现的 MSS R5F TCM 提供非常高的诊断覆盖率 (March-13n)。 L1 和 L2 存储器的 PBIST 在启动时由引导加载程序触发,然后从闪存或外设接口开始下载应用程序。CPU 处于 while 循环中,如果发现故障,则不会继续执行。 |
| MSS R5F 存储器的端到端 ECC | TCM 和 L2 存储器诊断支持单错校正、双错检测 (SECDED) ECC 诊断。对于 L2 存储器,使用一个 8 位代码字来存储通过 64 位数据总线计算的 ECC 数据。对于 TCM,使用一个 7 位代码字来存储 32 位数据总线的 ECC 数据。针对 TCM 的 ECC 评估由 CPU 内部的 ECC 控制逻辑执行。这种方案在 CPU 和 TCM 间的传输上提供端到端诊断。CPU 可配置为对 single-bit 和 double-bit 错误条件具有预先确定的响应(忽略或中止生成)。 |
| MSS R5F 位多路复用 | 逻辑 TCM 和 L2 存储器字以及关联的 ECC 代码被分开并存储在两个物理 SRAM 组中。这种方案提供一个针对物理 SRAM 组中地址解码故障的固有诊断机制。组寻址中的故障被 CPU 检测为一个 ECC 故障。 此外,实施位多路复用方案,以便所访问的旨在生成一个逻辑 (CPU) 字的位在物理上不相邻。这种方案有助于减少物理多位故障导致逻辑多位故障的可能性;相反,故障表现为多个 single-bit 故障。由于 SECDED TCM ECC 能够校正一个逻辑字中的 single-bit 故障,因此这种方案可提高 TCM ECC 诊断的有效性。 这两个特性都是硬件特性,无法由应用软件启用或禁用。 |
| 时钟监控器 | 器件架构支持四个数字时钟比较器 (EDCC) 和一个内部 RCOSC。这些模块提供双重功能 – 时钟检测和时钟监控。 EDCCA 专用于 ADPLL/APLL 锁定检测监控,将 ADPLL/APLL 输出分频版本与器件的基准输入时钟进行比较。可对 EDCCA 的故障检测进行编程以使器件进入跛行模式。 此外,还可以馈送外部基准时钟,以使用 EDCCA 来监测内部时钟。 EDCCB、EDCCC、EDCCD 模块是一个可供用户软件使用的模块。可以比较任意两个时钟。一个示例是将 CPU 时钟与基准或内部 RCOSC 时钟源进行比较。通过错误信令模块 (ESM) 向 MSS R5F CPU 指示故障检测。 |
| 用于 MSS R5F 的 RTI/WDT | 器件架构支持使用在实时中断 (RTI) 模块中实现的内部看门狗。内部看门狗有两个运行模式:数字式看门狗 (DWD) 和数字窗口模式看门狗 (DWWD)。这两种运行模式是互斥的;设计人员可以选择使用其中一种模式,但不能同时使用这两种模式。 在检测到故障时,看门狗可以发出内部(热)系统复位或者 CPU 不可屏蔽中断。 看门狗由引导加载程序于启动时在 DWD 模式下启用,以跟踪启动过程。当应用代码获得控制权后,可以根据应用要求再次配置看门狗以获得所需的模式和时序。 |
| MSS R5F 的 MPU | Cortex-R5F CPU 包含一个 MPU。MPU 逻辑可被用于提供器件内存中软件任务的空间分离。Cortex-R5F MPU 支持 16 个区域。操作系统根据每项任务的需要控制 MPU 并更改 MPU 设置。违反一个已设置的内存保护策略会导致一个 CPU 异常中断。 |
| 用于外设接口 SRAM 的 PBIST - SPI、以太网、EDMA、Mailbox | 器件架构还支持用于外设 SRAM 的硬件可编程存储器 BIST (PBIST) 引擎。 用于外设 SRAM 存储器的 PBIST 可由应用触发。用户能够根据可分配给 PBIST 诊断的执行时间,选择在一个 SRAM 或者一组 SRAM 上运行 PBIST。PBIST 测试会破坏存储器中的内容,正因如此,此测试通常只在启动时运行。但是,如果外设通信受到阻碍,用户可随时自由地启动测试。 由 PBIST 检测到的任何故障都会导致在 PBIST 状态寄存器中指示错误。 |
| 用于外设接口 SRAM 的 ECC – SPI、以太网、EDMA、Mailbox | 外设接口 SRAM 诊断由单错校正、双错检测 (SECDED) ECC 诊断提供支持。当检测到 single-bit 或 double-bit 错误时,将通过 ESM(错误信令模块)通知 MSS R5F。此特性在复位后被禁用。 软件必须在外设和 ESM 模块中配置和启用此特性。ECC 故障(single-bit 纠正和 double-bit 不可纠正的错误情况)通过 ESM 模块作为中断报告给 MSS R5F。 |
| 用于主 SS 外设的配置寄存器保护 | 所有主 SS 外设(SPI、以太网、I2C、DMA、RTI/WD、DCC、EDMA、IOMUX 等)均通过外设中心资源 (PCR) 进行互连。这提供了两种可以限制对外设的访问的诊断机制。根据 PCR 中的外设芯片选择,外设可被时钟选通。这可用于禁用未使用的特性,使得这些特性无法产生干扰。此外,可对每一个外设芯片选择进行编程以限制基于事务处理优先级的访问。这一特性可用于将对于全部外设的访问限于特许操作系统代码。 复位后,这些诊断机制被禁用。软件必须配置并启用这些机制。保护违规还会生成错误,导致 MSS R5F 中止或对其他主机(例如 DMA)的错误响应。 |
| 循环冗余校验 – 主 SS | 器件架构支持主 SS 上的硬件 CRC 引擎实现以下多项式。
|
| MPU | 器件架构在主 SS 中的某些外设端口上支持 MPU,包括 L2 存储器、PCR 外设访问、QSPI 访问、R5F AXI 外设访问。这样就可以配置对主 SS 中这些关键区域的访问权限。 默认情况下,此控制机制位于 HSM 中。 |
| 用于 DMA 的 MPU | 器件架构支持在主 SS EDMA 上使用 MPU。EDMA 还包括读取和写入主机端口上的 MPU。EDMA MPU 支持 8 个区域。MPU 检测到的故障通过本地 ESM 作为中断报告给内核。 |
| 互连 ECC | 器件架构支持基于硬件的 ECC 保护机制,用于通过系统互连进行传输。由于代码执行包括从互连上托管的存储器中获取指令,因此,通过结合使用 ECC 和基于冗余的机制,通过互连进行的传输被设计为安全的。在传输中检测到的任何故障将会通过 ESM 接口进行报告。此机制在硬件中默认启用,仅适用于 R5F CPU SS。 |
| 错误信令模块 | 当诊断检测到一个故障,这个错误必须被标出。器件架构使用一个称为错误信令模块 (ESM) 的外设逻辑来提供来自内部监测/诊断机制的故障指示集合。ESM 提供的一些机制可将错误按照严重性分类并提供可编程错误响应。 ESM 模块由客户应用代码配置,并且可以启用或屏蔽特定的错误信号,以便为 MSS R5F CPU 生成中断(低/高优先级)。 器件支持 Nerror 输出信号 (IO),可从外部监测此信号,以识别设计中不由 R5F 处理的任何类型的高严重性故障。 |
| 温度传感器 | 器件架构支持在整个器件中的数字温度热点处使用各种温度传感器,而应用可以使用内部 GPADC 通道监测这些传感器。 |
| 电压监控器 | 器件架构支持与外部电压监控器一起监测连接到芯片的电源轨。 |
| BIST(在雷达子系统内) | |
| 注:BIST 由 TI 固件处理。有关安全机制的信息,请参阅毫米波接口控制文档(作为 mmWave-MCUPLUS-SDK 软件包的一部分)和安全手册。 | |